ГлавнаяБаза уязвимостей БДУ → BDU:2019-01231
8.5высокая

BDU:2019-01231 (CVE-2018-10915)

Уязвимость функции PQescape() библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2019-03-29
Описание

Уязвимость функции PQescape() библиотеки libpq системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью SQL-инъекции

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)PostgreSQL (от 9.3.0 до 9.3.24)PostgreSQL (от 9.4.0 до 9.4.19)PostgreSQL (от 9.5.0 до 9.5.14)PostgreSQL (от 9.6.0 до 9.6.10)PostgreSQL (от 10.0 до 10.5)Postgres Pro Certified (до 11.11.1)
Способ устранения

Использование рекомендаций:
https://www.postgresql.org/about/news/1878/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет postgresql-9.6 до 9.6.10-0+deb9u1.astra или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
http://www.securityfocus.com/bid/105054http://www.securitytracker.com/id/1041446https://access.redhat.com/errata/RHSA-2018:2511https://access.redhat.com/errata/RHSA-2018:2557https://access.redhat.com/errata/RHSA-2018:2565https://access.redhat.com/errata/RHSA-2018:2566https://access.redhat.com/errata/RHSA-2018:2643https://access.redhat.com/errata/RHSA-2018:2721
Проверьте безопасность своего сайта и почты → Полная проверка домена